特洛伊木马(C语言中的简单客户端-服务器)
Trojan(Simple Client-Server in C)
所以我几天前开始网络编程,我创建了一个非常简单的木马(受害者执行一个客户端,创建一个到黑客PC的连接,然后黑客可以通过一个简单的system()命令执行CMD的功能).
我的特洛伊木马基本上可以运行,但我不明白为什么我的防病毒软件检测不到它。我的意思是,唯一可能阻止我的特洛伊木马的是我的防火墙,它检测到一个传出连接。所以我不明白为什么检测到其他木马而没有检测到这个新木马
如果需要我可以提供源代码,我想强调的是我这样做只是为了教育目的。我永远不会用这些知识去攻击任何人(反正我功力不够),我只是想学习和理解:)。
查杀:
AMES is using the Avira engine for virus detection. If the Avira
engine is not able to detect a virus, then the most likely cause could
be that this virus is brand new and cannot be detected yet. We would
greatly appreciate if you submit the suspicious file to us so we can
analyze it immediately. Our virus lab will subsequently send you a
feedback. If we cannot detect the suspicious file as a virus, we will
work on creating an update to make sure we detect the file in the
future.
平均:
Sometimes a new virus is not detected even if your AVG is fully up to
date. This happens when a threat has just been written or released, or
we’ve discovered it only very short time ago and are now working on an
update that will recognize and contain the virus.
戴尔(https://powermore.dell.com/technology/teaching-your-computer-to-detect-new-viruses/):
Most antivirus programs use signatures — mathematically derived
strings or regular expressions of malware code — to detect viruses.
But that requires a lengthy process of finding malware in the wild,
getting a sample, analyzing it, generating a signature and adding it
to the repository that is pushed to users in anti-virus updates.
看来,就像评论中提到的那样,只有当安全软件记录了病毒的签名时,才会检测到病毒。
这里 link 介绍了如何使用 ClamAV 创建您自己的签名:http://blog.adamsweet.org/?p=250
它没有被检测到,因为大多数防病毒软件都是基于签名(黑名单)的,并且这种方法基本上不能有效地阻止恶意软件,因为 ir 要求:
- 一家杀毒公司收集样本,确认并编写
签名;
- 发布数据库更新;
- 一般人
更新他们的病毒数据库定义。
在执行步骤 1-3 之前,病毒可以自由传播并攻击您的设备。另外,由于第 3 步涉及人员合作(允许杀毒软件更新)攻击 window 可能不会那么短。
普遍认为基于签名的杀毒效率在40%-45%左右。
在过去的几年里,反病毒公司终于承认病毒签名不是可行的方法,他们必须从那转向行为分析:
http://www.pcworld.com/article/2150743/antivirus-is-dead-says-maker-of-norton-antivirus.html
所以我几天前开始网络编程,我创建了一个非常简单的木马(受害者执行一个客户端,创建一个到黑客PC的连接,然后黑客可以通过一个简单的system()命令执行CMD的功能).
我的特洛伊木马基本上可以运行,但我不明白为什么我的防病毒软件检测不到它。我的意思是,唯一可能阻止我的特洛伊木马的是我的防火墙,它检测到一个传出连接。所以我不明白为什么检测到其他木马而没有检测到这个新木马
如果需要我可以提供源代码,我想强调的是我这样做只是为了教育目的。我永远不会用这些知识去攻击任何人(反正我功力不够),我只是想学习和理解:)。
查杀:
AMES is using the Avira engine for virus detection. If the Avira engine is not able to detect a virus, then the most likely cause could be that this virus is brand new and cannot be detected yet. We would greatly appreciate if you submit the suspicious file to us so we can analyze it immediately. Our virus lab will subsequently send you a feedback. If we cannot detect the suspicious file as a virus, we will work on creating an update to make sure we detect the file in the future.
平均:
Sometimes a new virus is not detected even if your AVG is fully up to date. This happens when a threat has just been written or released, or we’ve discovered it only very short time ago and are now working on an update that will recognize and contain the virus.
戴尔(https://powermore.dell.com/technology/teaching-your-computer-to-detect-new-viruses/):
Most antivirus programs use signatures — mathematically derived strings or regular expressions of malware code — to detect viruses. But that requires a lengthy process of finding malware in the wild, getting a sample, analyzing it, generating a signature and adding it to the repository that is pushed to users in anti-virus updates.
看来,就像评论中提到的那样,只有当安全软件记录了病毒的签名时,才会检测到病毒。
这里 link 介绍了如何使用 ClamAV 创建您自己的签名:http://blog.adamsweet.org/?p=250
它没有被检测到,因为大多数防病毒软件都是基于签名(黑名单)的,并且这种方法基本上不能有效地阻止恶意软件,因为 ir 要求:
- 一家杀毒公司收集样本,确认并编写 签名;
- 发布数据库更新;
- 一般人 更新他们的病毒数据库定义。
在执行步骤 1-3 之前,病毒可以自由传播并攻击您的设备。另外,由于第 3 步涉及人员合作(允许杀毒软件更新)攻击 window 可能不会那么短。
普遍认为基于签名的杀毒效率在40%-45%左右。
在过去的几年里,反病毒公司终于承认病毒签名不是可行的方法,他们必须从那转向行为分析: http://www.pcworld.com/article/2150743/antivirus-is-dead-says-maker-of-norton-antivirus.html